流动性低如何导致 Mango Markets 亏损超过 1.16 亿美元

据悉，正如Mango加密货币交易所官方账户发送的一条推文所示，黑客似乎在利用基于Solana的DeFi网络的漏洞中使用了“预言机价格操纵”策略。

10月中旬，交易员利用去中心化金融(DeFi)交易平台MangoMarkets的一个漏洞，从网络上窃取了价值超过1.1亿美元的加密货币。

Twitter上的另一个帖子提供了事件如何发生的详细分类。攻击者通过使用USDCoin为网站上的一个账户提供资金来开始他们的任务

500万美元，用于购买平台的原生加密货币Mango(MNGO)代币的483个单位的永续合约。

攻击者使用这种技术将MNGO的价格从0.03美元推高至0.91美元，将其MNGO持有的价值增加到4.23亿美元。

然后，这些资金用于使用平台上的几种代币（例如比特币）获得1.16亿美元的贷款,索拉纳和血清（SRM）。不幸的是，这笔贷款消除了MangoMarkets的所有流动性，导致MNGO的价格急剧下跌至0.02美元。

MangoMarkets的开发团队随后表示，他们正在调查发生的事情，并已对其展开调查。该协议通过其不同的社交媒体渠道向其用户提供该消息，并表示在进行更多研究时已暂时停止存款。此外，该团队还告知用户，在禁用该功能之前，他们应避免将现金存入网站。

MangoMarkets是如何被利用的

攻击者通过获取巨额永续合约，能够操纵MNGO代币价格，在如此短的时间内将其推高30倍。攻击者可以通过利用有限的市场流动性来人为地抬高代币的价格，通过大量购买订单来推高价格，然后利用新投资者作为退出流动性套现来实现这一目标。这与拉高出货骗局中采用的策略相同。

然而，当流动性非常大时，这种利用很难进行，因为操纵价格所需的现金量会高得多。由于新的或相对未知的代币通常具有极少的流动性，因此此类代币更常见的是拉高抛售计划。

如果MangoMarkets有足够的流动性，它本可以保护自己免受这种攻击。使用自动做市商(AMM)是MangoMarkets可能用来提高其流动性水平的一种策略。自动做市商是计算机程序，它通过从用户那里收集流动性并使用各种数学公式来决定代币的价格。

算法做市公司Auros的联合创始人兼首席信息官BenRoth告诉Cointelegraph：“不良交易行为是市场流动性不足的副产品。因此，当‘不良行为者’能够构建由于流动性低而具有高度确定性的攻击向量时，进行此类‘利用’的动机就会增加。”

“在与算法做市商合作时，代币发行人同时抑制这种不良行为，同时在各种市场条件下建立对流动性一致性的信心，”他补充道。

大型代币持有者，也称为流动性提供者(LP)，负责AMM的运营。LP负责将等量的代币配对（如MNGO/USDC）引入池中。这使得去中心化交易所可以外包其流动性，同时仍以平台上收取的交易费用份额的形式向LP提供补偿。

漏洞利用后

在MangoMarkets被利用一天后，犯罪者通过作为平台一部分的去中心化自治组织(DAO)提出了建议。攻击者建议MangoDAO用其7000万美元的国库偿还任何未偿债务，而不是使用攻击者的资金。

该协议规定，MangoDAO团队应使用其国库中的资金来弥补任何未偿还的财务义务。之后，网络犯罪分子会将被盗的代币发送到负责MangoDAO的组织提供的地址。

通过在漏洞利用期间使用数百万个令牌进行投票，黑客似乎支持这一想法，这是另一种操纵。此外，该事件的肇事者要求，如果请愿获得批准，则不要对他们提起刑事诉讼。

最终，MangoMarkets社区同意让攻击者保留大部分代币作为“漏洞赏金”。这些条款是交易的一部分，该交易将返还价值6700万美元的被盗代币，攻击者将剩余的4700万美元保留在被盗代币的1.17亿美元中。

该交易是通过MangoDAO的投票达成的，98%的选民（或2.91亿个代币）投票赞成。该提案包括MangoMarkets不对黑客提起法律指控。

攻击者暴露了他们的身份

该漏洞背后的攻击者后来出面透露了他们的身份。AvrahamEisenberg在Twitter上宣布，他“参与了一个上周实施高利润交易策略的团队”，即那些对MangoMarkets进行的1亿美元攻击负责的人。

Eisenberg继续说：“我相信我们所有的行为都是合法的公开市场行为，按照设计使用协议，即使开发团队没有完全预料到按原样设置参数的所有后果。”

他指出，由于该漏洞，MangoMarkets破产了，他还表示保险金不足以支付发生的所有清算。因此，损失了价值超过一亿美元的用户现金。

然而，艾森伯格声称他“帮助与保险基金谈判达成和解协议”，以便在为交易所注资的同时让所有用户再次完整。艾森伯格在推特结束时说：“由于这项协议，一旦Mango团队完成处理，所有用户将能够全额访问他们的存款，而不会损失资金。”

艾森伯格继续声称他的行为是合法的，类似于加密货币交易所的自动去杠杆化。自动去杠杆是一个过程，交易所使用从成功交易者那里获得的部分利润来弥补因其他交易者被清算而造成的损失。

然而，澳大利亚律师事务所PiperAlderman的合伙人MichaelBacina此前告诉Cointelegraph，“如果这发生在受监管的金融市场，很可能会被视为市场操纵。”

虽然理论上用户仍然可以对Eisenberg采取法律行动，但Bacina表示这在商业上不可行，并指出：“假设索赔在提案中仍然存在，任何索赔仍然需要减去会员因提案而收到的任何金额，这可能意味着许多会员起诉艾森伯格先生的商业动机有限。”

展望未来，看看DeFi协议如何更好地保护其协议将很有趣，无论是使用AMM首先阻止这些类型的漏洞利用，还是通过随后的法律行动。